在HTTPS中檢測(cè)到大量漏洞

根據(jù)研究，令人震驚的網(wǎng)絡(luò)頂級(jí)HTTPS站點(diǎn)有可利用的TLS漏洞。TLS代表傳輸層安全性，它是一種Web瀏覽器防御，可以對(duì)瀏覽器與其通信的Web服務(wù)器之間的數(shù)據(jù)進(jìn)行加密，以保護(hù)您的旅行計(jì)劃，密碼和搜索歷史記錄。這是通過(guò)Web瀏覽器搜索欄開(kāi)頭的綠色掛鎖來(lái)表示的。

然而，根據(jù)Ca'Foscari大學(xué)和奧地利Tu Wien的研究團(tuán)隊(duì)的數(shù)據(jù)，令人驚訝的加密網(wǎng)站數(shù)量仍然暴露出來(lái)。這些團(tuán)隊(duì)分析了亞馬遜Alexa分析公司排名的網(wǎng)站前10,000個(gè)HTTPs網(wǎng)站，發(fā)現(xiàn)5.5%的網(wǎng)站存在潛在可利用的TLS漏洞。

這些問(wèn)題是由每個(gè)站點(diǎn)實(shí)現(xiàn)TLS加密方案的方式和未能修補(bǔ)已知錯(cuò)誤的問(wèn)題組合而引起的。但最令人不安的是，它們足夠小，綠色掛鎖仍會(huì)出現(xiàn)。

“我們?cè)谡撐闹屑僭O(shè)瀏覽器是最新的，但我們發(fā)現(xiàn)的東西并沒(méi)有被瀏覽器發(fā)現(xiàn)，”Ca'Foscari大學(xué)網(wǎng)絡(luò)安全和密碼學(xué)研究員Riccardo Focardi說(shuō)。“這些都是未修復(fù)的問(wèn)題，甚至沒(méi)有被發(fā)現(xiàn)。我們希望通過(guò)用戶方尚未指出的網(wǎng)站TLS來(lái)識(shí)別這些問(wèn)題。”

Focardi和他的研究人員將在5月的IEEE安全和隱私研討會(huì)上展示他們的全部發(fā)現(xiàn)。他們開(kāi)發(fā)了TLS分析技術(shù)，并使用現(xiàn)有的加密文獻(xiàn)中的一些技術(shù)來(lái)抓取和審查前10,000個(gè)站點(diǎn)的TLS問(wèn)題。

研究人員在5,574臺(tái)主機(jī)中發(fā)現(xiàn)了TLS漏洞并將其分解為4,818，易受MITM攻擊，733對(duì)完全解密，912對(duì)部分解密。MITM代表“中間人”攻擊，受害者與另一個(gè)站點(diǎn)的通信被第三方攔截，中間有人攔截。

另外兩個(gè)類別涉及瀏覽器和Web服務(wù)器之間更加嚴(yán)重的加密通道，使黑客能夠解密通過(guò)它們的所有流量。這些最糟糕的變化是“受污染”的頻道，它允許黑客不僅解密流量而且還修改和/或操縱它。